Ataki nowego typu

Jeśli jakiejś innowacyjności powinniśmy się bać, to z pewnością innowacyjności hakerów. W ostatnim czasie pojawiły się szczególnie groźne typy ataków, które mogą rozpowszechnić, się w najbliższych miesiącach.

Od lat w firmach obserwuje się infekcje złośliwym oprogramowaniem, które kradnie informację, obecne są wymuszenia rozbójnicze i sabotaż. Można się spodziewać nowych ataków kierowanych przeciw firmom, a także masowych infekcji skomplikowanych środowisk Internetu Wszechrzeczy. Użytkownicy końcowi byli i nadal będą zagrożeni.

Manipulacja informacją w firmach

Sabotaż polegający na modyfikacji danych o wiele trudniej wykryć od niszczenia infrastruktury. Wprowadzane zmiany mogą być bardzo drobne, mogą polegać na modyfikacji zaledwie pojedynczych bitów, ale mogą także niszczyć losowo wybrane obiekty. Ukryte ataki modyfikacji danych mają dość długą historię – takie zniszczenia robił już w 1988 wirus Dark Avenger (znany z napisu „Eddie lives...somewhere in time”).

Zobacz również:

Obecnie zmiany wprowadzane w skomplikowanych bazach danych są jeszcze trudniejsze do wykrycia. Wprowadzone w ten sposób zmiany mogą mieć tragiczne skutki biznesowe, gdyż mogą podważyć wiarygodność zapisów księgowych w przedsiębiorstwach, zmienić parametry pracy aplikacji i urządzeń, a także stopniowo przyczyniać się do problemów z samą infrastrukturą. Dzisiejsze aplikacje są skomplikowane do tego stopnia, że administrator bazy danych ani aplikacji nie dysponuje dokumentacją opisującą dokładnie pracę każdego aspektu wykorzystywanego oprogramowania. Postępujące zmiany po jednej wartości w pojedynczej komórce programu finansowo księgowego być może przeszłyby niezauważone przez lata.

Skutki drobnych zmian mogą być szczególnie istotne w sektorze obronnym, w którym błędy w oprogramowaniu oraz integralności danych mogą przekładać się na realne zagrożenie dla ludzi. Przykładem takiego błędu były problemy z pociskami baterii Patriot podczas wojny w Zatoce Perskiej.

Wymuszenia rozbójnicze

Skuteczność ransomware'u otworzyła oczy cyberprzestępcom na dalsze możliwości wymuszeń. Najgłośniejszym takim atakiem było włamanie do Sony dwa lata temu, gdy włamywacze spenetrowali infrastrukturę tej firmy, a następnie żądali okupu za zachowanie danych w tajemnicy. Publikacja skradzionej informacji może przynieść katastrofalne skutki dla atakowanego przedsiębiorstwa, jak to miało miejsce w przypadku ubiegłorocznego włamania na portal randkowy Ashley Madison. Ze stanowiska zrezygnował CEO firmy, a zaufanie do tego portalu radykalnie zmalało. Podobne ataki notowaliśmy także w Polsce. Włamywacze próbowali wymusić okup na PlusBanku po udanym włamaniu na serwery tego banku. Opublikowano wiele skradzionych w ten sposób informacji, w tym opisy transakcji i stan konta Tobiasa Solorza.

Przed atakiem wymuszenia nie chroni sprawna polityka kopii bezpieczeństwa. Jeśli ofiara zapłaci okup, skradzione dokumenty nie zostają opublikowane, informacja o udanym ataku nie wydostaje się na zewnątrz. Wymuszenia rozbójnicze będą pojawiać się częściej, gdyż po opłaceniu okupu nikomu nie będzie zależało na rozgłosie.

Konie trojańskie i tylne drzwi

Pod koniec roku świat obiegła głośna informacja na temat celowo wprowadzonej opcji w oprogramowaniu urządzeń sieciowych firmy Juniper Networks. Koń trojański został zainstalowany w bardzo podstępny sposób w kodzie firmware'u i umożliwiał zdalny dostęp do urządzenia a także deszyfrowanie informacji przesyłanych w szyfrowanych tunelach VPN. Poszlaki wskazywały na to, że przynajmniej część z tych luk w bezpieczeństwie została wprowadzona celowo, na życzenie agencji rządowych. Tylko one miały bowiem możliwości przechwycenia dużych ilości informacji w celu późniejszego dekryptażu i tylko one odniosłyby z tego prawdzie korzyści w większej skali. Na poparcie tej tezy wysuwano argument o użyciu algorytmu, który powstał we współpracy z NSA.

Organizacje współpracujące z agencjami rządowymi różnych krajów mają wielkie zasoby finansowe oraz możliwości techniczne, by podobne luki w bezpieczeństwie wprowadzać celowo do różnych urządzeń. Po odkryciu konia trojańskiego w firewallach Juniper Networks niektórzy producenci rozpoczęli dokładny audyt urządzeń bezpieczeństwa sieciowego różnych dostawców. Można zatem spodziewać się odkrycia kolejnych koni trojańskich umieszczonych w różnych urządzeniach, od zapór sieciowych przez oprogramowanie antywirusowe i narzędzia detekcji intruzów aż po systemy operacyjne i popularne aplikacje. Te ostatnie już od dłuższego czasu służą do kradzieży informacji, zwłaszcza w smartfonach.

Botnet urządzeń Internetu Wszechrzeczy

Ubiegły rok uważa się za narodziny sieci Internetu Wszechrzeczy. Razem z tą siecią pojawiły się także zagrożenia z nią związane. Hakerzy odkryli podatności w zegarkach, telewizorach, urządzeniach medycznych, a nawet zabawkach i elektronice samochodowej, ale były to jedynie próby i pokazy istniejących zagrożeń. W tym roku rozpocznie się masowe wykorzystywanie tych luk i zamiast botnetów utworzonych ze stacji roboczych Windows, pojawią się połączone w podziemną sieć urządzenia z Androidem, iOS oraz systemami osadzonymi. Będziemy notowali dalsze włamania do połączonych z internetem kamer wideo, telewizorów, systemów automatyki w pomieszczeniach, a nawet urządzeń AGD. Będzie to nowe zjawisko, różne od tego, do czego jesteśmy przyzwyczajeni w epoce złośliwego oprogramowania na dzisiejszych pecetach.